Windows域环境中Kerberos认证流程

已于 2024-06-02 11:07:49 修改
阅读量373 收藏 2
点赞数 9
文章标签: windows 安全
于 2024-04-19 19:15:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25499417/article/details/137975025
版权
本文详细描述了Windows系统中Kerberos协议的客户端-认证服务器(AS)-TicketGrantingServer(TGS)之间的三次交互过程,涉及NTLM-hash加密和验证机制,确保了通信的安全性。
摘要由CSDN通过智能技术生成

总体来说分外三步:

  1. Client与AS交互,验证身份,获取TGT
  2. Client拿着TGT与TGS交互,获取票据ST
  3. Client拿着ST与与Server交互,请求服务

细化来说分为三个阶段:

  1. Client ==> AS
    1. Client用自己的密码NTLM-hash对 timestamp、client-info、server-info 等数据进行加密,发送给AS;
    2. AS向AD确认存在此Client后,会从AD取出此Client的NTLM-hash解密,同时生成一个随机密钥key1,利用此Client的NTLM-hash加密key1,生成响应的一部分;
    3. AS使用特定账户krbtgt的NTLM-hash对 key1、timestamp、 client-info 进行的加密,生产TGT,成为响应的另一部分;
    4. 将两部分合并返回给Client。
  2. Client ==> TGS
    1. Client收到响应后利用自己的密码NTLM-hash解密得到key1,但Client无法又解密TGT,所以防止了Client修改client-info伪造其他用户。Client利用key1对 timestamp、client-info、server-info 进行加密,将TGT一起发送给TGS;
    2. TGS接收请求,利用账户krbtgt的NTLM-hash解密TGT,得到key1和timestamp、client-info,利用key1解密另一部分由Client加密的 timestamp、client-info 信息,将两部分解密出的数据进行对比,验证是否通过;
    3. 通过后,TGS生成新的密钥key2,利用key1加密key2,再使用Server NTLM-hash加密数据(key2、timestamp、client-info)生成ST,合并后发送给Client。
  3. Client ==> Server
    1. Client收到响应,用key1解密得到key2,利用key2对 timestamp、client-info 进行加密,同时带上接收到的ST发送给Server;
    2. Server收到后利用Server NTLM-hash解密数据,得到key2,再利用key2解密另一部分,得到数据,将两部分解密的数据进行对比,无误后建立通信。
只有我最优秀
关注
建立 Windows AD 对 Kerberos 的单向信任(允许使用账号登录Kerberos集群)
Laurence的技术博客
04-07 4937
文章目录1. 环境说明2. 在AD服务器上添加Kerberos的KDC并信任其Realm3. 配置加密类型4. 在Kerberos端配置对AD的信任5. 修改应用程序的认证配置 这一操作具有广泛的适用场景,例如:在一个启用了Kerberos的大数据集群下,联通企业的Windows AD服务器,允许企业用户使用账号和密码登入集群或提交作业。注意:典型的应用场景下,我们是不需要配置KerberosWindows AD双向互信,因为让Windows AD取信任Kerberos管控集群的那些服务账号没有特别大
Windows认证Kerberos认证)图解
Howell_0626的博客
06-30 2583
Windows认证Kerberos认证)图解
详细讲解kerberos认证全过程、黄金、白银票据
qq_63217130的博客
08-18 2770
当TGS接收到请求之后,会检查自身是否存在客户端请求的服务,如果存在就会拿ktbtgt hash解密TGT(由于TGS是在DC上的,所有具有krbtgt的hash),解密到的信息包含了login session key,别忘了客户端发过来的时间戳就是利用login session key加密的,此时就可以用其解密获取到时间戳了,然后验证时间戳。只要在TGT过期之前,可以直接请求TGS申请服务票据,而不用在每次访问服务的时候都向AS请求TGT,减少了与AS的通信,提高了系统的性能和效率。
【dbeaver】win环境kerberos认证和Clouders/cdh集群Kerberos认证使用Dbeaver连接Hive、Impala和Phoenix
lisacumt的专栏
09-25 2151
win环境kerberos认证和Clouders集群Kerberos认证使用Dbeaver连接Hive和Phoenix
Windows认证机制和协议---Kerberos协议
Naive的博客
05-03 1558
Kerberos协议是由麻省理工学院提出的一种网络身份认证协议,提供了一种在开放的非安全网络认证识别用户身份信息的方法。其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假设网络上传送的数据包是可以被任意的读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的.
Windows认证Kerberos访问HDFS
weixin_67510312的博客
03-25 905
Kerberos 客户端安装完成后会自动在环境变量的 path 里面加上自己的目录,但是如果本地安装了 JDK,需要把 Kerberos环境变量调整到前面,因 JDK 里面也带了一些 kinit、klist 等命令。5、将服务端拿到的ic.dev.hdfs.keytab文件复制到C:\ProgramData\MIT\Kerberos5\文件目录下。将修改完成后的krb5.ini文件替换该目录下的文件C:\ProgramData\MIT\Kerberos5\krb5.ini。3、需要进行浏览器配置。
基于Kerberos的跨身份认证实验
Shirongliang的博客
12-03 2087
身份认证技术是身份认证技术的一种典型应用,随着云计算的快速发展和大规模部署,传统的网络架构发生了深刻的变革,带来了新的安全挑战。在云环境下,身份提供者、认证凭证和签发机构的多元化造成用户访问时需穿越多个安全,跨身份认证已成为云安全的难点问题。Kerberos是一种网络认证协议,它使用对称加密的技术实现网络的身份认证。目前大数据组件(如HDFS/ YARN/ HBase/Hive/Kafka/Spark 等等)基本上都默认支持Kerberos身份认证
Windows环境下配置Kerberos认证指南
Windows环境配置Kerberos认证对于访问需要此认证的服务,如Hive数据库,至关重要。 首先,你需要下载并安装Kerberos客户端。4.1版本的客户端可以从官方网站获取,例如麻省理工学院的Kerberos分布站点...
078-windows环境认证和攻击初识.pdf
09-20
### WindowsKerberos认证流程 1. **AS认证(获取TGT)**: - 客户端向KDC的AS发起认证请求,请求包含用户密码hash加密的时间戳预认证信息以及其他未加密信息。 - KDC的AS验证客户端的认证信息,并生成一个...
Kerberos认证Windows与Linux共享的应用
文章重点探讨了Kerberos协议在这一过程的作用,以及在FreeBSD系统上运用Kerberos5进行认证的实践内容。" 在Windows环境,将Linux系统加入其,通常涉及到的关键技术是AD (Active Directory) 和Samba。AD是...
windows环境漏洞分析ppt
10-18
Windows攻击链是指攻击者通过各种手段来获取Windows环境的高权限账户,从而控制整个环境的过程。攻击链模型主要包括信息搜集、权限提升、凭证窃取三个阶段。 攻击链模型 1. 信息搜集:攻击者通过LDAP信息...
Kerberos认证流程及基本操作
qq_45329047的博客
03-23 3672
Kerberos主要是有三个重要的角色:1、访问服务的Client2、提供服务的Server3、KDC(Key Distribution Center)密钥分发心,其报错AS(authorization server)和TGS(ticket granting server)上图 AD其实类似于一个本机的一个数据库,存储所有client的白名单。
Kerberos认证流程详解
热门推荐
jewes的专栏
03-08 5万+
Kerberos是诞生于上个世纪90年代的计算机认证协议,被广泛应用于各大操作系统和Hadoop生态系统。了解Kerberos认证流程将有助于解决Hadoop集群安全配置过程的问题。为此,本文根据最近阅读的一些材料,详细介绍Kerberos认证流程。欢迎斧正!
kerberos互信_使用Kerberos的Web服务安全互操作性
cuyi7076的博客
06-24 2108
需要Web服务安全性标准,以确保异构环境的互操作性。 WS-Security标准及其依赖项(例如WS-Trust和WS-Security Policy)是该领的重要标准。 WS-Security与安全令牌无关,允许使用多种安全令牌类型。 在内联网方案流行的一种安全令牌类型是Kerberos令牌。 这主要是因为Kerberos是Microsoft Active Directory服务器...
windows认证认证Kerberos协议认证
hmysn的博客
01-02 2426
Windows是计算机网络的一种形式,其所有用户帐户 ,计算机,打印机和其他安全主体都在位于称为控制器的一个或多个央计算机集群上的央数据库注册。身份验证在控制器上进行。在使用计算机的每个人都会收到一个唯一的用户帐户,然后可以为该帐户分配对该内资源的访问权限。 ( Domain)是一个有安全边界的计算机集合(安全边界的意思是,在两个,一个的用户无法访问另一个的资源)可以简单地把理解成升级版的工作组。与工作组相比,安全管理控制机制更加严格。
windows 配置 Kerberos客户端访问CDH组件
mizuhokaga的博客
08-19 938
Kerberos Windows客户端配置访问
渗透之kerberos认证讲解
最新发布
qq_55202378的博客
05-20 554
用微软账号登录计算机,微软账密码存在微软服务器上。本地账号则存在SAM数据库。win 11后强制使用微软账户登录。windows 2003以后的系统加入,默认使用kerberos协议进行认证。本地用户使用本地登录流程进行认证用户走网络登录流程进行认证。协议主要用于windows机器之间的文件共享、打印机共享。NTLM V1和NTLM V2最显著的区别就是。与加密算法不同,共同点就是加密的原料都是。FTP协议密码是明文传输。linux下文件共享。UNC用于共享文件。
kerberos认证_Kerberos认证流程
weixin_39695241的博客
12-03 2273
前言:面试经常会被问到Kerberos认证流程这里就一步一步写认真水一篇文章吧。1.Kerberos身份认证先了解以下名词概念:KDC(Key Distribution Center)= 密钥分发心AS(Authentication Server)= 认证服务器TGS(Ticket Granting Server)= 票据授权服务器TGT(Ticket Granting Ti...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值